Где гарантия безопасности на противоположном конце туннеля? Где гарантия, что MITM нет на входе в серверную мейла.ру? Наконец, очевидное же, где гарантия, что сам туннель настоящий? Вопрос курицы и яйца. Всё равно всё сведётся к сертификатам. Вопрос в правильности и удобстве их использования, обновлениях софта, аудите софта, хотя бы поверхностном сторонними организациями (ситуации типа неработающего ГПСЧ в андроиде через-чур веселят).